Wartajakarta.com-McAfee, perusahaan cybersecurity perangkat-ke-cloud, Cloud-Native: Infrastruktur-sebagai-Layanan-Adopsi dan Laporan Risiko, yang mencakup penelitian baru tentang insidenInfrastruktur-sebagai-Layanan (IaaS) di cloud. Menurut analis industry, IaaS saat ini adalah area dari cloud yang tumbuh paling cepat karena kecepatan, biaya dan keandalan yang bisa di aplikasikan oleh setiap organisasi. Hasil survei menunjukan bahwa 99 persen kesalahan konfigurasi IaaS luput dari pengamatan-menunjukan bahwa kesadaran terhadap hal yang paling umum terjadi pada “Pelanggaran cloud-native” (CNB) sangat rendah.
“Dalam kondisi yang serba cepat menuju adopsi IaaS, banyak organisasi mengabaikan model tanggung jawab bersama soal cloud dan menganggap bahwa keamanan diurus sepenuhnya oleh penyedia cloud,” dikatakan oleh Jonathan Tan, Managing Director, Asia, McAfee. “Padahal, keamanan dari data paling sensitif yang pelanggan tempatkan di cloud adalah tanggung jawab mereka juga. Untuk bisa bertahan melawan era baru pelanggaran cloud-native, setiap organisasi perlu menggunakan alat keamanan cloud-native, yang memang sengaja dibuat untuk keamanan cloud dan membantu menangani hal yang menjadi tanggung jawab bersama.”
Tidak terlihat seperti serangan malware tipikal biasa, alih-alih memanfaatkan fitur asli infrastruktur cloud untuk melakukan serangan, memperlas ke instansi cloud yang berdekatan, dan mengekstrak data sensitive. Dalam kebanyakan kasus mereka “menyerang” dengan mengeksploitasi kesalahan konfigurasi di dalam lingkungan cloud saat awal di buat. Penelitian ini menyoroti perlunya alat keamanan untuk tetap terdepan dalam isu-isu Iaas-Native, terutama kemampuan untuk mengaudit penyebaran IaaS terkait kesalahan konfigurasi dan penyimpangan yang terjadi seiring waktu.
Cloud-Native: Laporan adopsi IaaS juga mengungkapkan hal-hal sebagai berikut:
Hubungan terputus antara praktisi dan pimpinan perusahaan: Hasil menunjukan bahwa 90 persen perusahaan telah mengalami beberapa masalah keamanan di IaaS, kesalahan konfigurasi atau sejenisnya. Namun dua kali lebih banyak dari praktisi berujar bahwa mereka tidak pernah mengalami masalah yang sama dengan yang dialami pimpinan atau C-Level mereka. Hanya 26 persen yang dilengkapi dengan hal yang diperlukan untuk mengaudit kesalahan konfigurasi pada IaaS, hal ini menyebabkan kurangnya visibilitas. Ada kemungkinan karena cepatnya adopsi cloud membuat beberapa praktisi keamanan sedikit tertinggal, kekurangan alat yang mereka butuhkan untuk menghentikan pelanggaran cloud-native (CNB) saat dimana paling dibutuhkan karena risiko yang semakin besar.
Meningkatnya data cloud yang hilang di IaaS: insiden yang dipicu oleh aturan pencegahan kehilangan data (DLP) di IaaS, data PCI yang memasukan objek penyimpanan dengan akses baca-publik, telah naik 248 persen dari tahun ke tahun. Sebanyak 42 persen dari insiden DLP objek penyimpanan adalah karena kesalahan konfigurasi.
IaaS adalah New Shadow IT: Melacak insiden keamanan di IaaS semakin sulit mengingat kemudahan bagi para pengembang untuk dapat membuat infrastruktur baru dan menjadi lebih buruk saat organisasi beroperasi di beberapa lingkungan penyedia layanan cloud. 76 persen responden mengatakan mereka menggunakan beberapa penyedia IaaS, namun data yang bersumber dari penggunaan cloud actual menunjukan 92 persen yang benar-benar melakukannya. Hal ini menunjukan bahwa insiden dapat tidak diketahui jika perusahaan tidak benar-benar mengetahui dimana infrastruktur mereka benar- benar berada.
Untuk laporan ini, McAfee mensurvei 1.000 organisasi perusahaan di seluruh dunia tentang masalah keamanan di IaaS, dengan fokus pada kesalahan konfigurasi yang dalam beberapa kasus menyebabkan jutaan catatan pelanggan dan kekayaan intelektual terbuka untuk pencurian. McAfee juga menganalisis penggunaan IaaS oleh pelanggannya sendiri melalui data acara teragregasi yang dianonimkan di jutaan pengguna cloud dan milyaran peristiwa.
